BI信息系統(tǒng)安全機制訪問控制

訪問控制技術(shù)孫建偉計算機網(wǎng)絡(luò)攻防對抗技術(shù)實驗室北京理工大學(xué)內(nèi)容概要訪問控制原理自主訪問控制強制訪問控制基于角色的訪問控制常用操作系統(tǒng)中的訪問控制概念通常應(yīng)用在信息系統(tǒng)的安全設(shè)計上。定義：在保障授權(quán)用戶能獲取所需資源的同時拒絕非授權(quán)用戶的安全機制。目的：為了限制訪問主體對訪問客體的訪問權(quán)限，從而使計算機系統(tǒng)在合法范圍內(nèi)使用；它決定用戶能做什么，也決定代表一定用戶身份的進(jìn)程能做什么。未授權(quán)的訪問包括：未經(jīng)授權(quán)的使用、泄露、修改、銷毀信息以及頒發(fā)指令等。非法用戶進(jìn)入系統(tǒng)。合法用戶對系統(tǒng)資源的非法使用?？腕w（Object）：規(guī)定需要保護(hù)的資源，又稱作目標(biāo)（target)。主體（Subject）：或稱為發(fā)起者(Initiator)，是一個主動的實體，規(guī)定可以訪問該資源的實體，（通常指用戶或代表用戶執(zhí)行的程序）。授權(quán)（Authorization)：規(guī)定可對該資源執(zhí)行的動作（例如讀、寫、執(zhí)行或拒絕訪問）。訪問控制模型基本組成任務(wù)識別和確認(rèn)訪問系統(tǒng)的用戶。認(rèn)證鑒權(quán)決定該用戶可以對某一系統(tǒng)資源進(jìn)行何種類型的訪問。授權(quán)審計訪問控制與其他安全服務(wù)的關(guān)系模型

引用監(jiān)控器身份認(rèn)證訪問控制授權(quán)數(shù)據(jù)庫用戶目標(biāo)目標(biāo)目標(biāo)目標(biāo)目標(biāo)審計安全管理員訪問控制決策單元訪問控制的一般實現(xiàn)機制和方法

一般實現(xiàn)機制——基于訪問控制屬性 ——〉訪問控制表/矩陣基于用戶和資源分檔（“安全標(biāo)簽”） ——〉多級訪問控制常見實現(xiàn)方法——訪問控制表（ACL)

訪問能力表（Capabilities)

授權(quán)關(guān)系表訪問矩陣定義客體(O)主體(S)權(quán)限(A)讀(R)寫(W)擁有(Own)執(zhí)行(E)更改(C)

舉例問題：稀疏矩陣，浪費空間。訪問控制類類型自主訪問控制強制訪問控制基于角色訪問控制訪問控制自主訪問控控制DiscretionaryAccessControl概念基于對主體體或主體所所屬的主體體組的識別別來限制對對客體的訪訪問，這種種控制是自自主的。自主指主體體能夠自主主地將訪問問權(quán)或訪問問權(quán)的某個個子集授予予其他主體體。如用戶A可將其對對目標(biāo)O的的訪問權(quán)限限傳遞給用用戶B,從從而使不具具備對O訪訪問權(quán)限的的B可訪問問O。缺點：信息在移動動過程中其其訪問權(quán)限限關(guān)系會被被改變：安安全問題訪問控制表表（AccessControlList）基于訪問控控制矩陣列的自主訪問問控制。每個客體都有一張ACL，用用于說明可可以訪問該該客體的主主體及其訪訪問權(quán)限。。舉例：客體目錄ACL表o:Ownerr:Readw:Writee:Excuteoj表示客體j，si.rw表示示主體si具有rw屬屬性。oj問題：主體、客體體數(shù)量大，，影響訪問問效率。解決：引入用戶組組，用戶可可以屬于多多個組。主體標(biāo)識=主體.組組名如Liu.INFO表示INFO組的的liu用用戶。*.INFO表示所所有組中的的用戶。*.*表示示所有用戶戶。liu.INFO.rw表示示對INFO組的用用戶liu具有rw權(quán)限。*.INFO.rw表示對INFO組組的所有用用戶具有rw權(quán)限。。*.*.rw表表示對所所有用戶戶具有rw權(quán)限限。oj訪問能力力表（AccessCapabilitiesList））基于訪問問控制矩矩陣行的自主訪訪問控制制。為每個主主體（用用戶）建建立一張張訪問能能力表，，用于表表示主體體是否可可以訪問問客體，，以及用用什么方方式訪問問客體。。文件名客體(文件)File1File2File3o:Ownerr:Readw:Writee:Excute舉例：權(quán)限用戶A的目錄用戶B的目錄訪問能力力表強制訪問問控制MandatoryAccessControl概念為所有主主體和客客體指定定安全級級別，比比如絕密密級、機機密級、、秘密級級、無秘秘級。不同級別別的主體體對不同同級別的的客體的的訪問是是在強制制的安全全策略下下實現(xiàn)的的。只有安全全管理員員才能修修改客體體訪問權(quán)權(quán)和轉(zhuǎn)移移控制權(quán)權(quán)。（對對客體擁擁有者也也不例外外）MAC模模型絕密級機密級秘密級無秘級寫寫讀讀完整性保密性安全策略略保障信息息完整性性策略級別低的的主體可可以讀高高級別客客體的信信息（不不保密）），級別別低的主主體不能能寫高級級別的客客體（保保障信息息完整性性）保障信息息機密性性策略級別低的的主體可可以寫高高級別客客體的信信息（不不保障信信息完整整性），，級別低低的主體體不可以以讀高級級別的客客體（保保密）舉例：Security-EnhancedLinux(SELinux)forRedHatEnterpriseLinuxAppArmorforSUSELinuxandUbuntuTrustedBSDforFreeBSD基于角色色的訪問問控制RoleBasedAccessControl概念起源于UNIX系統(tǒng)或別別的操作作系統(tǒng)中中組的概概念（基基于組的的自主訪訪問控制制的變體體）每個角色色與一組組用戶和和有關(guān)的的動作相相互關(guān)聯(lián)聯(lián)，角色色中所屬屬的用戶戶可以有有權(quán)執(zhí)行行這些操操作角色與組組的區(qū)別別組：一組組用戶的的集合角色：一一組用戶戶的集合合+一組組操作權(quán)權(quán)限的集集合RBAC模型用戶戶角色色權(quán)限限訪問控制制資源源1、認(rèn)證2、分派3、請求4、分派5、訪問角色控制優(yōu)勢勢便于授權(quán)管理理授權(quán)操作：n*m變成n*r+r*m=r*(n+m)便于角色劃分分便于賦予最小小特權(quán)便于職責(zé)分擔(dān)擔(dān)便于目標(biāo)分級級一個基于角色色的訪問控制制的實例在銀行環(huán)境中中，用戶角色色可以定義為為出納員、分行行管理者、顧顧客、系統(tǒng)管管理者和審計計員訪問控制策略略的一個例子子如下：（1）允許一一個出納員修修改顧客的帳帳號記錄（包包括存款和取取款、轉(zhuǎn)帳等等），并允許許查詢所有帳帳號的注冊項項（2）允許一一個分行管理理者修改顧客客的帳號記錄錄（包括存款款和取款，但但不包括規(guī)定定的資金數(shù)目目的范圍）并并允許查詢所所有帳號的注注冊項，也允允許創(chuàng)建和終終止帳號（3）允許許一個顧客客只詢問他他自己的帳帳號的注冊冊項（4）允許許系統(tǒng)的管管理者詢問問系統(tǒng)的注注冊項和開開關(guān)系統(tǒng)，，但不允許許讀或修改改用戶的帳帳號信息（5）允許許一個審計計員讀系統(tǒng)統(tǒng)中的任何何數(shù)據(jù)，但但不允許修修改任何事事情系統(tǒng)需要添添加出納員員、分行管管理者、顧顧客、系統(tǒng)統(tǒng)管理者和和審計員角角色所對應(yīng)應(yīng)的用戶，，按照角色色的權(quán)限對對用于進(jìn)行行訪問控制制。常用操作系系統(tǒng)中的訪訪問控制國際安全標(biāo)標(biāo)準(zhǔn)1984年年，美國國國防部發(fā)布布了《可信信計算機系系統(tǒng)評估標(biāo)標(biāo)準(zhǔn)》（TCSEC），即桔桔皮書。TCSEC采用等級級評估的方方法，將計計算機安全全分為A、、B、C、、D四個等等級八個級級別，D等等安全級別別最低，A安全級別別最高。現(xiàn)在大多數(shù)數(shù)通用操作作系統(tǒng)（WindowsNT、Linux等））為C2級級別，即控控制訪問保保護(hù)級。WindowsNT(自主主訪問控制制)Windows安全全模型SecurityAccountManagerLocalSecurityAuthority(LSA)SecurityReferenceMonitor訪問控制過過程組成部件：：安全標(biāo)識：：帳號的唯唯一對應(yīng)。。訪問令牌：：LSA為用用戶構(gòu)造的的，包括用用戶名、所所在組名、、安全標(biāo)識識等。主體：操作作和令牌。。對象、資源源、共享資資源安全描述符符：為共享享資源創(chuàng)建建的一組安安全屬性所有者安全全標(biāo)識、組組安全標(biāo)識識、自主訪問控控制表、系統(tǒng)訪問問控制表、、訪問控制制項。登錄過程服務(wù)器為工工作站返回回安全標(biāo)識識，服務(wù)器器為本次登登錄生成訪訪問令牌用戶創(chuàng)建進(jìn)進(jìn)程P時，用戶戶的訪問令令牌復(fù)制為為進(jìn)程的訪訪問令牌。。P進(jìn)程訪問問對象時，，SRM將將進(jìn)程訪問問令牌與對對象的自主主訪問控制制表進(jìn)行比比較，決定定是否有權(quán)權(quán)訪問對象象。NTFS的訪問控制制從文件中得得到安全描描述符（包包含自主訪訪問控制表表）；與訪問令牌牌（包含安安全標(biāo)識））一起由SRM進(jìn)行行訪問檢查查Linux(自主主訪問控制制)設(shè)備和目錄錄同樣看作作文件。三種權(quán)限：：R:readW:writeX:excute權(quán)限表示：：字母表示：：rwx，不不具有相應(yīng)應(yīng)權(quán)限用-占位8進(jìn)制數(shù)表表示：111，不具具有相應(yīng)權(quán)權(quán)限相應(yīng)位位記0四類用戶：：root：：超級用戶戶所有者所屬組其他他用用戶戶文件件屬屬性性：：drwxr-x--x2lucywork1024Jun2522:53text安全屬屬性：：drwxr-x--x所有者者，所所屬組組：lucy.work安全屬屬性后后9個個字母母規(guī)定定了對對所有有者、、所屬屬組、、其他他用戶戶的權(quán)權(quán)限（（各3位））。text思考題題了解數(shù)數(shù)據(jù)庫庫系統(tǒng)統(tǒng)的訪訪問控控制機機制在一個個